EvilProxy フィッシング ツールキットを利用して組織を狙う脅威アクター

犯罪者は、EvilProxy として知られるフィッシング・アズ・ア・サービス (PhaaS) ツールキットを利用して、特に著名な企業の経営幹部をターゲットにしたアカウント乗っ取り攻撃を組織化することが増えています。

Proofpoint は、このサービスを利用して数千の Microsoft 365 ユーザー アカウントをターゲットにし、2023 年の 3 月から 6 月にかけて世界中の多数の組織に約 120,000 件のフィッシングメールを広めた進行中の混合キャンペーンを報告しています。

侵害された数名のユーザーのうち約 39% は、CEO (9%) と CFO (17%) を含む経営幹部として特定されています。この攻撃により、機密情報や資金にアクセスできる個人も特定されました。侵害されたすべてのユーザーのうち、少なくとも 35% が追加のアカウント セキュリティ対策を講じていました。

これらのキャンペーンは、企業内での多要素認証 (MFA) の実装の増加に対する反応とみなされており、攻撃者が新たに導入されたセキュリティ層を回避するために戦略を適応させるよう促しています。彼らは、認証情報、セッション Cookie、ワンタイム パスワードを抽出するための戦術に、中間者攻撃 (AitM) フィッシング キットを組み込んでいます。

このエンタープライズ セキュリティ会社は、攻撃者が高度な自動化技術を利用して、フィッシング詐欺に遭ったユーザーが重要な地位にあるかどうかを迅速かつ正確に特定し、即座にアカウントにアクセスできるようにしていると指摘しました。同時に、あまり儲からないフィッシングプロフィールは無視します。

EvilProxy は、2022 年 9 月に Resecurity によって初めて文書化され、Apple iCloud、Facebook、GoDaddy、GitHub、Google、Dropbox、Instagram、Microsoft、NPM、PyPI、RubyGems、Twitter、Yahoo、ヤンデックスなど。

このツールキットは、月額 400 ドルのサブスクリプションを通じて利用できます。ただし、Google アカウントの場合、料金は 600 ドルにまで上昇する可能性があります。

PhaaS ツールキットはサイバー犯罪情勢の進化を意味しており、技術的スキルが限られた個人でも参入障壁を低くし、大規模かつシームレスかつコスト効率よく複雑なフィッシング攻撃を実行できます。

フィッシング攻撃とは何ですか?

フィッシング攻撃は、攻撃者が欺瞞的な戦術を使用して個人を騙し、ログイン認証情報、個人情報、財務情報などの機密情報を漏らすサイバー攻撃の一種です。これらの攻撃は通常、正規の組織になりすました電子メール、メッセージ、または Web サイトを通じて発生し、信頼できるものであるかのように見せかけます。

フィッシング攻撃の主な特徴は次のとおりです。

欺瞞的なコミュニケーション:フィッシング攻撃には、銀行、ソーシャル メディア プラットフォーム、政府機関、有名企業などの正当なソースから送信されたように見える電子メール、テキスト メッセージ、ソーシャル メディア メッセージが含まれることがよくあります。攻撃者は、これらの偽装 ID を使用して、受信者の信頼を獲得します。

緊急性または恐怖:フィッシング メッセージは多くの場合、緊急性や恐怖感を引き起こし、受信者を操作してすぐに行動を起こさせます。一般的な手口には、アカウントが侵害された、支払い期限がある、または緊急のアップデートが必要であると主張することが含まれます。

リンクと添付ファイル:フィッシング メッセージには、偽の Web サイトへのリンクや悪意のある添付ファイルが含まれています。これらのリンクは、正規の Web サイトによく似ているものの、情報を盗んだりマルウェアを拡散したりするように設計された Web サイトに受信者を誘導する可能性があります。

なりすましの Web サイト:攻撃者は、正規のサイトの外観をよく模倣した偽の Web サイトを作成し、ユーザーをだまして資格情報を入力させます。これらのサイトには、類似した URL やドメイン名が含まれていることがよくありますが、わずかに異なります。

資格情報の盗難:ほとんどのフィッシング攻撃の主な目的は、ユーザー名やパスワードなどのログイン資格情報を盗むことです。その後、攻撃者はこれらの資格情報を使用して、アカウントへの不正アクセスを取得します。